員工離職後，資料安全還能保障嗎？

「他都離職了，還能拿我們的資料做什麼？」

這是66金融公司資安長王經理，最近在內部會議上聽到的問題。公司剛發生了一起內部資料外洩事件，離職員工趙先生在交接時，順手下載了一些業務資料，準備帶去下一家競爭對手公司使用。雖然公司已經收回了他的帳號權限，但並沒有落實離職後的資訊安全監管。

這不只是個案，而是許多企業常見的資安盲點。根據CNS 27002條文規範，企業應該確保離職或職務變更後，資訊安全責任依然有效，避免資料外流、商業機密洩漏，甚至資安攻擊的風險。

離職後的資訊安全漏洞，為何成為企業風險？

在66金融公司的案例中，趙先生原本負責金融商品設計，擁有大量的客戶數據、行銷策略文件，甚至還能存取公司內部系統。一旦這些資訊落入競爭對手或心懷不軌者手中，後果不堪設想。

企業在員工離職或轉調時，若沒有適當的資訊安全機制，可能會面臨以下風險：

1. 未回收的存取權限：離職員工仍能進入內部系統，甚至下載、刪除或修改重要數據。
2. 個資與機密資料外洩：員工將客戶名單、業務機密帶走，影響公司競爭力與信譽。
3. 供應商與客戶誤信任：如果供應商或客戶未被通知員工已離職，可能仍與不具授權的人員分享機密資訊。

這些問題在金融產業尤其嚴重，因為一旦機密資料被不當使用，不只會影響企業競爭力，還可能違反個資法與金融監理規範，導致鉅額罰款。

66金融公司如何強化離職與職務變更的資安管理？

66金融公司在這次事件後，決定建立一套完整的離職資安管理流程，確保資訊安全不會因人事變動而產生漏洞。

✅ 權限管理清查，確保帳號即時收回

• 設立「離職即鎖帳」機制，一旦員工辦理離職，系統會自動停用其所有權限，包括電子郵件、內部系統存取權。
• 定期檢視並清理幽靈帳號，避免已離職員工的帳號仍在運作。

✅ 資料交接必須留存紀錄，避免機密外流

• 離職或職務變更時，要求員工簽署「機密資料回收確認書」，確保電腦、USB、雲端帳號內無未經授權的公司資料。
• 內部資訊系統的下載與存取紀錄自動生成報告，確保資安團隊能夠追蹤是否有異常行為。

✅ 供應商、客戶即時通知，防止誤發資料

• 一旦員工離職或調動，應立即通知相關供應商、合作夥伴與客戶，確保後續溝通不會誤發機密資訊。

✅ 建立「資訊保密期間」與合約條款，降低風險

• 在合約中明確規範，離職員工仍需對曾經處理過的機密資訊負法律責任，並禁止於一定期間內與競爭對手合作。
• 透過法務部門與資安團隊聯合監管，確保離職後仍有效落實資料安全。

從人事管理到資安控制，66金融公司的三大資安文化轉變

這次事件後，66金融公司不只強化離職資安管理，更進一步將「職務變更與資安管理」納入企業文化，並推動三大資安轉變：

🔹 主管與HR共同負責資安交接

• 主管與HR不再只是處理薪資與文件，還要確保資料安全完整交接，減少資訊落差。

🔹 建立「資安離職教育」

• 離職面談時，HR會向員工強調機密資訊保護的重要性，並提醒相關法律責任，確保員工理解未來若洩密的法律後果。

🔹 每半年資安稽核，防止漏洞

• IT與法遵部門每半年進行一次「離職帳號存取測試」，確保沒有未關閉的存取權限，並檢查是否有異常資料外洩情形。

結語：資安管理不能只看「在職期間」，離職後更該留意！

這次的資安事件讓66金融公司深刻體會：

「資訊安全不是只管員工在職時的行為，而是要確保離職後仍有適當的風險管理措施。」

企業應該從帳號回收、資料交接、法律責任、供應商與客戶管理等多方面著手，確保公司機密不因人事變動而輕易流失。

企業的競爭力，不只是來自於技術與產品，更來自於資訊安全的完善管理。